Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Lösungsoptionen für die Überprüfung des Inline-Datenverkehrs
In den folgenden drei Abschnitten werden Datenflüsse für die Verkehrsinspektion mithilfe von Firewall-Appliances von Drittanbietern in einer AWS Umgebung mit Gateway Load Balancer- und Gateway Load Balancer-Endpunkten beschrieben:
+ [VPC-to-VPC Verkehrsinspektion](vpc-to-vpc-traffic-inspection.md)
+ [VPC-to-on-premises Inspektion des Datenverkehrs](vpc-on-premises-traffic-inspection.md)
+ [Überprüfung des ausgehenden Datenverkehrs über ein NAT-Gateway und ein Internet-Gateway](outbound-traffic-inspection-nat-gateway.md)
Die folgenden Ressourcen werden in den drei Optionen für diese Lösung verwendet:
+ Dedizierter Spoke VPCs für das Hosten von Workloads oder Anwendungen.
+ Eine VPC zum Hosten von Firewall-Appliances.
+ Ein dediziertes Subnetz für die elastic network interface von Transit Gateway für jede Availability Zone in Spoke und Appliance VPCs.
+ Der Appliance-Modus ist für den VPC-Ahang der Appliance aktiviert.
+ Dedizierte Subnetze für Gateway-Load-Balancer-Endpunkte in jeder Availability Zone.
+ Ein Transit Gateway für die Verbindung zwischen den VPCs und bietet zusätzlich zur lokalen Konnektivität über die virtuelle Transit Gateway-Schnittstelle und das Direct Connect Gateway oder mit einem VPN-Anschluss für. AWS Site-to-Site VPN
# VPC-to-VPC Verkehrsinspektion
VPC-to-VPC Eine Verkehrsinspektion erfolgt, wenn der Verkehr von einer VPC stammt und für eine andere VPC bestimmt ist. Der Datenverkehr wird zur Überprüfung an eine Appliance-VPC umgeleitet, bevor er die Ziel-VPC erreicht. Das folgende Diagramm veranschaulicht den Fluss des Datenverkehrs, wenn eine Instance von Amazon Elastic Compute Cloud (Amazon EC2) in `Workload spoke VPC1` mit einer EC2-Instance in `Workload spoke VPC2` kommunizieren muss.
![\[Architekturdiagramm der Verkehrsinspektion zwischen zwei Speichen VPCs und einer Appliance-VPC\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png)
In diesem Anwendungsfall hosten zwei Spoke-VPCs die Workload-EC2-Instances in zwei Availability Zones und eine Appliance-VPC hostet die Firewall-Appliances von Drittanbietern zur Überprüfung des Datenverkehrs. Sie VPCs sind miteinander verbunden über AWS Transit Gateway. Das Diagramm zeigt den folgenden Paketfluss, wenn eine EC2-Instance in `Workload spoke VPC1` in Availability Zone 1 ein Paket an eine Instance in `Workload spoke VPC2` in Availability Zone 1 sendet:
1. Das Paket von einer EC2-Instance in `Workload spoke VPC1` in Availability Zone 1 geht an die elastische Netzwerkschnittstelle des Transit Gateways im Transit-Gateway-Subnetz in Availability Zone 1.
1. Basierend auf der in der VPC-Routing-Tabelle definierten Standardroute landet das Paket auf dem Transit-Gateway.
1. Im Transit-Gateway ist die Routing-Tabelle des Spoke-Transit-Gateways dem `Workload spoke VPC1`-Anhang zugeordnet, der den nächsten Hop bestimmt.
1. Der nächste Hop ist die Appliance-VPC. Da der Appliance-VPC-Anhang den Appliance-Modus aktiviert hat, bestimmt das Transit Gateway anhand der 4 Tupel des IP-Pakets, an welche elastische Transit-Gateway-Netzwerkschnittstelle der Datenverkehr weitergeleitet werden soll.
1. Wenn Transit Gateway die elastische Netzwerkschnittstelle von Transit Gateway in Availability Zone 1 in der `Appliance VPC` auswählt, bleibt der Datenverkehr sowohl für den Anfrage- als auch für den Antwortverkehr in Availability Zone 1 bestehen.
1. Der Datenverkehr wird an `Gateway Load Balancer endpoint 1` in Availability Zone 1 gesendet.
1. Der Gateway Load Balancer-Endpunkt ist über logisch mit dem Gateway Load Balancer verbunden. AWS PrivateLink Der Gateway Load Balancer verwendet den 4-Tupel-Hash-Algorithmus, um eine Firewall-Appliance für die gesamte Lebensdauer des Datenflusses auszuwählen, und leitet dann den Datenverkehr zur Überprüfung an diese Appliance in der `Appliance VPC` in Availability Zone 1 weiter. Der Gateway Load Balancer erstellt einen GENEVE-Tunnel zwischen sich und der Firewall-Appliance.
1. Der Datenverkehr wird auf der Grundlage der Firewall-Richtlinie überprüft.
1. Nachdem das Paket erfolgreich geprüft wurde, wird das Paket zurück an den Gateway Load Balancer und dann an den Gateway-Load-Balancer-Endpunkt in `Appliance VPC` in Availability Zone 1 gesendet.
1. Am Gateway-Load-Balancer-Endpunkt wird das Paket auf der Grundlage der VPC-Routing-Tabelle an das Transit-Gateway gesendet.
1. Nachdem das Paket am Transit-Gateway angekommen ist, untersucht es die dem Netzwerk `10.2.0.0/16` zugeordnete Routing-Tabelle, bei der es sich um das Zielnetzwerk handelt.
1. Das Paket wird an die elastische Netzwerkschnittstelle von Transit Gateway in `Workload spoke VPC2` in Availability Zone 1 gesendet, bevor es die EC2-Ziel-Instance erreicht. Der zurückgegebene Datenverkehr folgt demselben Pfad, jedoch in umgekehrter Reihenfolge.
**Anmerkung**
Transit Gateway behält die Affinität zur Availability Zone bei und verwendet dieselbe Availability Zone, in der die ursprünglichen Anfragen erstellt wurden. Wenn beispielsweise eine EC2-Instance in `Workload spoke VPC2` in Availability Zone 2 die Anfrage initiiert hat, wird das Paket an das Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle in `Workload spoke VPC2` in Availability Zone 2 weitergeleitet, landet auf dem Transit Gateway und wird dann an das Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle in Availability Zone 2 in der Ziel-VPC weitergeleitet. Indem Sie den Appliance-Modus in der Appliance-VPC aktivieren, können Sie sicherstellen, dass die Symmetrie des Datenflusses mithilfe des 4-Tupel-Hashs für die gesamte Lebensdauer des Datenverkehrs aufrechterhalten wird.
# VPC-to-on-premises Inspektion des Datenverkehrs
Das folgende Diagramm veranschaulicht den Fluss des Datenverkehrs, wenn eine Instance von Amazon Elastic Compute Cloud (Amazon EC2) in `Workload spoke VPC1` mit einem On-Premises-Server kommunizieren will.
![\[Der Fluss des Datenverkehrs zwischen einer Amazon-EC2-Instance in Spoke-VPC 1 und einem On-Premises-Server\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/3-vpc-to-onprem.png)
Das Diagramm zeigt den folgenden Workflow:
1. Ein Paket von einer EC2-Instance in `Workload spoke VPC 1` in Availability Zone 1 kommt an der elastischen Transit-Gateway-Netzwerkschnittstelle in Availability Zone 1 im Transit-Gateway-Subnetz für `Workload spoke VPC 1` an. Basierend auf der VPC-Routing-Tabelle, die dem Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle zugeordnet ist, landet das Paket auf dem Transit-Gateway.
1. Im Transit-Gateway ist die `Spoke transit gateway route table` dem `Workload spoke VPC 1`-Anhang zugeordnet, und diese bestimmt den nächsten Hop.
1. Der nächste Hop ist die Appliance-VPC. Basierend auf einem 4-Tupel-Hash für die gesamte Lebensdauer eines Flusses bestimmt das Transit Gateway, an welche elastische Transit-Gateway-Schnittstelle der Datenverkehr gesendet werden soll.
1. Wenn Transit Gateway die elastische Transit-Gateway-Netzwerkschnittstelle in Availability Zone 1 auswählt, überprüft es die VPC-Routing-Tabelle, die dem Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle in Availability Zone 1 in der Appliance-VPC zugeordnet ist. Transit Gateway sendet den Datenverkehr an den Gateway-Load-Balancer-Endpunkt in Availability Zone 1.
1. Der Gateway Load Balancer-Endpunkt ist logisch mit dem Gateway Load Balancer verbunden AWS PrivateLink , der dann den Datenverkehr zur Verkehrsinspektion an die Firewall-Appliance weiterleitet. Der Gateway Load Balancer erstellt einen GENEVE-Tunnel zwischen dem Gateway Load Balancer und der Firewall-Appliance.
1. Wenn der Datenverkehr zulässig ist, wird das Paket an den Gateway Load Balancer und den Gateway-Load-Balancer-Endpunkt in Availability Zone 1 zurückgeschickt.
1. Am Gateway-Load-Balancer-Endpunkt überprüft das Paket die VPC-Routing-Tabelle und der nächste Hop ist das Transit-Gateway.
1. Das Paket kommt am Transit-Gateway an und führt eine Suche in der Transit-Gateway-Routing-Tabelle der Appliance durch, die dem VPC-Anhang der Appliance für den nächsten Hop zum Netzwerk `172.16.0.0/16` zugeordnet ist.
1. Das Paket wird dann an den On-Premises-Zielserver gesendet. Der antwortende Datenverkehr folgt demselben Pfad, jedoch in umgekehrter Reihenfolge.
# Überprüfung des ausgehenden Datenverkehrs über ein NAT-Gateway und ein Internet-Gateway
Das folgende Diagramm zeigt den Workflow, wenn Sie ausgehenden Datenverkehr überprüfen müssen, der von einer VPC ins Internet übertragen wird.
![\[Überprüfen des Datenverkehrs von einer VPC zum Internet über ein NAT-Gateway und ein Internet-Gateway.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/4-outbound-inspection.png)
Das Diagramm zeigt den folgenden Workflow:
1. Das Paket von einer Instance von Amazon Elastic Compute Cloud (Amazon EC2) in `Workload spoke VPC1` in Availability Zone 1 kommt an der elastischen Transit-Gateway-Netzwerkschnittstelle in Availability Zone 1 an. Gemäß der `Workload spoke VPC1` Routentabelle, die der Quelle zugeordnet ist, kommt das Paket am Transit Gateway an.
1. Im Transit-Gateway ist die Routing-Tabelle des Spoke-Transit-Gateways dem `Workload spoke VPC1`-Anhang zugeordnet, der den nächsten Hop bestimmt.
1. Der nächste Hop ist die `Appliance VPC`. Das Transit Gateway bestimmt anhand eines 4-Tupel-Hashs, an welche elastische Transit-Gateway-Netzwerkschnittstelle der Datenverkehr gesendet werden soll.
1. Wenn Transit Gateway die elastische Transit-Gateway-Netzwerkschnittstelle in Availability Zone 2 auswählt, überprüft es die VPC-Routing-Tabelle, die dem Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle in Availability Zone 2 zugeordnet ist, nach der `Appliance VPC` und sendet dann den Datenverkehr an den Gateway-Load-Balancer-Endpunkt anhand des Standardknotens.
1. Der Gateway Load Balancer-Endpunkt ist logisch mit dem Gateway Load Balancer verbunden AWS PrivateLink , der den Datenverkehr zur Verkehrsinspektion an die Firewall-Appliance weiterleitet. Der Gateway Load Balancer erstellt einen GENEVE-Tunnel zwischen sich und den Firewall-Appliances.
1. Nachdem das Paket erfolgreich geprüft wurde, wird das Paket anhand der Metadaten, die der Nutzlast angehängt sind, zurück an den Gateway Load Balancer und dann an den ursprünglichen Gateway-Load-Balancer-Endpunkt in Availability Zone 1 gesendet.
1. Am Gateway-Load-Balancer-Endpunkt in Availability Zone 1 überprüft das Paket die VPC-Routing-Tabelle, um den nächsten Hop zu bestimmen.
1. Das Paket kommt am `NAT gateway 1` an und überprüft die Routing-Tabelle des NAT-Gateways, wobei die Standardroute das Internet-Gateway ist.
1. Das Paket wird dann über das Internet-Gateway an sein Ziel gesendet. Der zurückgegebene Datenverkehr folgt demselben Pfad, jedoch in umgekehrter Reihenfolge.